UI 및 API를 사용하여 DFW 규칙을 생성, 업데이트 및 삭제할 수 있습니다.

보안 관리자는 보안 정책 작업의 인식 시간을 확인해야 합니다. 인식 시간은 전송 노드에서 보안 정책/규칙이 인식되는 데 걸리는 시간입니다. 보안 정책/규칙에 대한 모든 생성/업데이트/삭제 작업은 규칙이 적용되는 위치에 따라 전송 노드에서 인식됩니다.

UI의 규칙 인식 상태

보안 > 분산 방화벽 또는 보안게이트웨이 방화벽으로 이동하고 전송 노드에서 보고한 규칙 인식 상태를 확인하여 DFW 및 게이트웨이 방화벽 정책에 대한 규칙 인식 상태를 볼 수 있습니다.

규칙 인식 상태에는 다음 4가지 가능한 값이 있습니다.
  • 성공
  • 오류
  • 진행 중
  • 알 수 없음

API를 통한 규칙 인식 상태

규칙이 생성되고 관련 노드에서 적용된 경우 인식 상태를 다음 정책 관리자 API로 확인할 수 있습니다.

NSX 4.1.1에는 다음 두 가지 새 필드가 있습니다.
  • publish_time - 게시 상태가 업데이트된 시기를 추적합니다. 의도가 업데이트될 때마다 상태 추적기는 전송 노드로 푸시된 후 게시 상태를 수정합니다. 이것은 폴링 메커니즘을 기준으로 하므로 의도를 데이터 경로에 게시한 정확한 시간이 아닙니다. -1 값은 게시가 아직 진행 중이거나 런타임 상태가 [알 수 없음]이고 사용할 수 없음을 나타냅니다. 하나 이상의 호스트가 종료되어 해당 호스트에 규칙을 보낼 수 없는 경우 런타임 상태는 [알 수 없음]일 수 있습니다. 호스트가 실행되면 런타임 상태가 [성공]으로 변경되지만 publish_time은 마지막 인식 시간의 값을 표시합니다. 이 시간 이후에 새 구성이 변경되면 publish_time의 적절한 값을 반영하기 시작합니다.
  • time_taken_for_realization - 데이터 경로에 대한 의도를 인식하는 데 걸린 대략적 시간입니다. 실제 시간은 여기에 보고된 시간보다 작을 수 있습니다. -1 값은 게시가 아직 진행 중이거나 런타임 상태가 [알 수 없음]이므로 사용할 수 없음을 나타냅니다. 하나 이상의 호스트가 종료되어 해당 호스트에 규칙을 보낼 수 없는 경우 런타임 상태는 [알 수 없음]일 수 있습니다. 호스트가 실행되면 런타임 상태가 [성공]으로 변경되지만 인식에 소요된 시간은 마지막 인식 시간의 값을 표시합니다. 이 시간 이후에 새 구성이 변경되면 time_taken_for_realization의 적절한 값을 반영하기 시작합니다.
예: 
"publish_status": "REALIZED",
    "publish_time":  1668599137109, <====================== Newly added
    "time_taken_for_realization": 1563 <============ in milliseconds 
    "intent_version": "1"

정책 관리자에서 생성된 모든 엔티티에 대한 인식 상태를 확인하려면 GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entities 명령을 실행합니다. 개체의 인식된 상태가 "REALIZED"이고 'runtime_status'가 "SUCCESS"여야 합니다.

예를 들어 정책 관리자 수준에서 보안 정책의 인식된 상태 <e2d4c010-96c8-11e9-8c0a-f7581ab92530>을 확인하는 쿼리는 GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530입니다. 

{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",  
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}

하이퍼바이저의 섹션에 있는 모든 규칙 섹션의 인식된 전체 상태를 확인하려면 GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path> 명령을 실행합니다.

통합된 상태에는 다음 4가지 가능한 값이 있습니다.
  • 성공
  • 오류
  • 진행 중
  • 알 수 없음
표 1. 통합된 상태
전송 노드 1 전체 상태 전송 노드 2 전체 상태 통합된 상태
오류 오류 오류
오류 IN_PROGRESS 오류
오류 알 수 없음 오류
IN_PROGRESS IN_PROGRESS IN_PROGRESS
IN_PROGRESS 알 수 없음 IN_PROGRESS
SUCCESS SUCCESS SUCCESS
SUCCESS 오류 오류
SUCCESS IN_PROGRESS IN_PROGRESS
SUCCESS 알 수 없음 알 수 없음
알 수 없음 알 수 없음 알 수 없음